Мы приступаем к детальному рассмотрению четырехфазной модели процесса управления информационной безопасностью (планирование -реализация - оценка - корректировка, ПРОК), описанной в стандарте BS 7799-2:2002.
Процесс управления имеет циклический характер; на фазе первоначального планирования осуществляется вход в цикл. В качестве первого шага должна быть определена и документирована политика безопасности организации.
Затем определяется область действия системы управления информационной безопасностью. Она может охватывать всю организацию или ее части. Следует специфицировать зависимости, интерфейсы и предположения, связанные с границей между СУИБ и ее окружением; это особенно важно, если в область действия попадает лишь часть организации. Большую область целесообразно поделить на подобласти управления.
Результат анализа рисков - выбор регуляторов безопасности. План должен включать график и приоритеты, детальный рабочий план и распределение обязанностей по реализации этих регуляторов.
|
|
На второй фазе - фазе реализации - руководством организации выделяются необходимые ресурсы (финансовые, материальные, людские, временные), выполняется реализация и внедрение выбранных регуляторов, сотрудникам объясняют важность проблем информационной безопасности, проводятся курсы обучения и повышения квалификации. Основная цель этой фазы - ввести риски в рамки, определенные планом.
Оценка (третья фаза) может выполняться в нескольких формах:
• регулярные (рутинные) проверки;
• проверки, вызванные появлением проблем;
• изучение опыта (положительного и отрицательного) других организаций;
• внутренний аудит СУИБ;
• инспекции, проводимые по инициативе руководства;
• анализ тенденций.
Аудит должен выполняться регулярно, не реже одного раза в год. В процессе аудита следует убедиться в следующем:
• политика безопасности соответствует производственным требованиям;
• результаты анализа рисков остаются в силе;
• документированные процедуры выполняются и достигают поставленных целей;
• технические регуляторы безопасности (например, межсетевые экраны или средства ограничения физического доступа) расположены должным образом, правильно сконфигурированы и работают в штатном режиме;
• действия, намеченные по результатам предыдущих проверок, выполнены.
Даже если недопустимых отклонений не выявлено и уровень безопасности признан удовлетворительным, целесообразно зафиксировать изменения в технологии и производственных требованиях, появление новых угроз и уязвимостей, чтобы предвидеть будущие изменения в системе управления.
|
|
• Назначение фазы оценки - проанализировать, насколько эффективно работают регуляторы и система управления информационной безопасностью в целом. Кроме того, следует принять во внимание изменения, произошедшие в организации и ее окружении, способные повлиять на результаты анализа рисков. При необходимости намечаются корректирующие действия, предпринимаемые в четвертой фазе.
Систему управления информационной безопасностью надо постоянно совершенствовать, чтобы она оставалась эффективной. Эту цель преследует четвертая фаза рассматриваемого в стандарте цикла - корректировка. Она может потребовать как относительно незначительных действий, так и возврата к фазам планирования (например, если появились новые угрозы) или реализации (если следует осуществить намеченное ранее).
Коррекция должна производиться, только если выполнено по крайней мере одно из двух условий:
• выявлены внутренние противоречия в документации СУИБ;
• риски вышли за допустимые границы.
При корректировке прежде всего следует устранить несоответствия следующих видов:
• отсутствие или невозможность реализации некоторых требований СУИБ;
• неспособность СУИБ обеспечить проведение в жизнь политики безопасности или обслуживать производственные цели организации.